§ 78a SGB X entspricht weitgehend den Regelungen des § 9 BDSG und betrifft technische und organisatorische Maßnahmen, die bei der Verarbeitung von Sozialdaten getroffen werden müssen, und ist einschließlich der aufgeführten Anlage von den in § 35 SGB I genannten Stellen, zu denen unter anderem die Sozialversicherungsträger gehören, zu beachten. Die Vorschrift regelt die Datensicherheit. Diese trägt mittelbar zur Gewährleistung des Datenschutzes bei. Sie gilt unabhängig davon, ob die Datenverarbeitung automatisiert oder nicht automatisiert erfolgt. Die Anlage zu § 78a SGB X bezieht sich zwar dem Wortlaut nach nur auf automatisierte Datenverarbeitung, die Zielvorgaben lassen sich jedoch auch auf Schutzmaßnahmen bei nicht automatisierten Verfahren übertragen. Die Umsetzung erfolgt durch ein trägerspezifisches, ggf. auch verfahrensspezifisches Datensicherheitskonzept. Protokollierungs- und Überwachungspflichten können wiederum zu Zielkonflikten mit den Belangen des (Personal-) Datenschutzes führen. Auch in dieser Hinsicht ist auf die Verhältnismäßigkeit zu achten.

Maßnahmen und Dienstanweisungen müssen generell mit dem Verhältnismäßigkeitsgrundsatz vereinbar sein. Ob eine Maßnahme in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht, kann nicht allgemein beurteilt werden. Hier ist im Einzelfall das Schutzbedürfnis der jeweils zu verarbeitenden Daten, der Umfang der Datenverarbeitung und das quantitative Missbrauchspotential zu berücksichtigen. Für die Krankenkassen steht die Vorgabe auch in gewissem Spannungsverhältnis zum Wirtschaftlichkeitsgebot (§ 12 SGB V). Die in der Anlage zu § 78a SGB X beschriebenen Maßnahmen stellen keine abschließende Aufzählung dar ("insbesondere"). Im Einzelfall können also weitere Maßnahmen erforderlich sein.